系列文章目录
信息服务上线渗透检测网络安全检查报告和解决方案
文章目录
系列文章目录
前言
一、XSS漏洞
漏洞危害
解决方案
1.参数过滤
2.Cookie设置HttpOnly
二、安装文件目录信息泄漏
漏洞证明
解决方案
三、后台管理路径泄漏、暴力破解、明文传输
漏洞证明
解决方案
四、逻辑漏洞
漏洞验证
解决方案
五、弱口令
六、任意文件上传
解决方案
(1)上传页面增加token,上传处理程序比对
(2)后缀白名单
(3)检测内容是否包含木马
(4)图片复制
总结
前言
临近年关,不知是黑客兄弟们闲来无事,还是各个部门要年总总结,总之是在放假之际,系统漏洞陆续爆出。一言蔽之,总是自己技术不过关考虑不周导致的。
一、XSS漏洞
漏洞危害
1.窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。
2.窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。
3.网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
在网址url参数后,如果对相对应的参数未做过滤,即直接执行javascript脚本,给系统带来的潜在风险。如:
http://test.com/?m=User&a=userForget<script>alert(1)</script>
解决方案
- 在表单提交或者url参数传递前,对需要的参数进行过滤;
- 增加前后端验证机制;
1.参数过滤
将常见的威胁系统安全的脚本符合进行过滤,代码如下:
/** * 安全过滤函数 * @param $str */ function safe_replace($str) { $disallow_str = array('%20', '%27', '%2527', '*', '"', "'", ';', '<', '>', "{", '}', '\\'); if (is_array($str)) { return $str; } else { for ($i = 0; $i < count($disallow_str); $i++) { if (stripos($str, $disallow_str[$i]) !== false) { die('传递参数非法,禁止访问。'); } } return $str; } }
2.Cookie设置HttpOnly
HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。
Cookie的设置方式(本文采用较为简单的一种方式,其他方式另行查询)
SetCookie("admin_name", $row["user_name"], time() + 604800, "/", '', '', TRUE); SetCookie("admin_phone", $row["user_phone"], time() + 604800, "/", '', '', TRUE); SetCookie("admin_id", $row["user_id"], time() + 604800, "/", '', '', TRUE); SetCookie("admin_menu", $row["user_menu"], time() + 604800, "/", '', '', TRUE);
二、安装文件目录信息泄漏
漏洞证明
解决方案
这是程序开发约定俗成的常见漏洞,比如:
- 默认索引页是index.php或default.php;
- 默认安装文件夹目录是install;
- 默认后台管理文件目录是admin或manage;
- …
硬币的两面性告诉我们,解决这个问题的根源,就是换一个“你知我知”的文件名称即可。不能改变的,做参数过滤,可以改变的重命名。
三、后台管理路径泄漏、暴力破解、明文传输
漏洞证明
- 1.管理后台路径泄漏容易让攻击者很快找到后台,获取更多的有价值的信息;
- 2.检查到目标应用的后台登录入口。管理员应用程序一般用于网站的后台管理,具有全部的权限。这些应用程序可能包含一些敏感信息或具有较低的安全保护,攻击者可以通过该文件获取敏感信息或者进入网站后台,进行恶意操作。
- 3.明文传输一般存在web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取。攻击者可能结合中间人攻击,窃取明文传输的密码,从而非授权登录系统,执行破坏性操。
解决方案
- 1.关闭外网访问后台管理模块 ;
- 2.登录次数进行限制,例:登录错误超过5次,锁定账户5-10分钟;
- 3.建议密码传输进行加密,建议使用https、建议在网站前端进行js密码加密加密后在上传;
四、逻辑漏洞
漏洞验证
使用默认密码登录系统后,在强制修改密码时,存在手机验证码验证机制,但手机验证码可以使用bp拦截工具进行获取,从而得到修改密码的功能。
解决方案
直接进行后端校验,不要前端校验完再后端校验。
采用session方式生成验证码;
限制发送短信和IP绑定的次数;
五、弱口令
弱口令,指用户出于偷懒的行为,随时输入123456、88888等常见,容易被暴力破解字典记录,不费吹灰之力就可以破解的密码。
在用户注册、修改等行为时,系统增加密码验证的强度即可。
<div class="layui-form-item"> <label for="L_pass" class="layui-form-label">密码</label> <div class="layui-input-inline"><input type="password" id="L_pass" name="pass" lay-verify="pass" autocomplete="off" class="layui-input"></div> <div class="layui-form-mid layui-word-aux"><span class="x-red">* 密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位</span></div> </div>
密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位
form.verify({ user_phone: [/^1[3|4|5|6|7|8|9]\d{9}$/, '手机必须11位,只能是数字!'] ,smscode: [/[\S]+/, "验证码为6位数且5分钟内有效"] ,pass: [/(?=.*[0-9])(?=.*[a-zA-Z])(?=.*[^a-zA-Z0-9]).{6,30}/, '密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位'] ,repass: function(){ if($('#L_pass').val()!=$('#L_repass').val()){ return '两次密码不一致'; } } ,user_email: [/^([a-zA-Z0-9_\.\-])+\@(([a-zA-Z0-9\-])+\.)+([a-zA-Z0-9]{2,4})+$/, "邮箱格式不正确"], });
六、任意文件上传
解决方案
(1)上传页面增加token,上传处理程序比对
$_SESSION['upToken'] = md5(rand(111111, 999999));
$tpl->assign('upToken', $_SESSION['upToken']);
//01.获取验证token if ($token != $_SESSION['upToken'] || $token == "") { $res['code'] = "1"; $res['msg'] = "非法传参页面,请刷新重新上传";//$token . 'a-a' . $_SESSION['upToken']; //验证码自动销毁; session_destroy(); die(json_encode_lockdata($res)); }
<script> var upToken='{$upToken}'; </script>
(2)后缀白名单
//白名单; $allow_type = array('application/pdf', 'image/png', 'image/jpeg', 'video/mp4'); $allow_ext = array('pdf', 'jpg', 'png', 'mp4');
//02.服务器端检查上传文件类型; if ($uploaded_tmp == "") { $res['code'] = "1"; $res['msg'] = "无法获取上传文件"; die(json_encode_lockdata($res)); }
(3)检测内容是否包含木马
//03.检测内容是否包含木马; if (checkHex($uploaded_tmp) != 0) { $res['code'] = "1"; $res['msg'] = "文件包含危险信息"; die(json_encode_lockdata($res)); }
(4)图片复制
//重新制作一张图片,抹去任何可能有危害的数据
if ((strtolower($uploaded_ext) == 'jpg' || strtolower($uploaded_ext) == 'jpeg' || strtolower($uploaded_ext) == 'png') && ($uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png') && getimagesize($uploaded_tmp)) { if ($uploaded_type == 'image/jpeg') { $img = imagecreatefromjpeg($uploaded_tmp); imagejpeg($img, $temp_file, 80); } else { $img = imagecreatefrompng($uploaded_tmp); imagepng($img, $temp_file, 80); } imagedestroy($img); //文件转储; if (rename($temp_file, $imgUrl . "/" . $fileName)) { $res['code'] = "0"; $res['imgUrl'] = $imgUrl . "/" . $fileName; $res['data'] = ["src" => $imgUrl . "/" . $fileName, "title" => $fileName];//富文本上传调用 $res['msg'] = '上传成功!'; die(json_encode_lockdata($res)); } else { $res['code'] = "1"; $res['msg'] = '上传文件异常'; die(json_encode_lockdata($res)); } //删除所有暂时文件 if (file_exists($temp_file)) { unlink($temp_file); } }
总结
所谓攻防,如果知道攻,那么防是简单的;如果对攻不甚了解,那么就无所谓防。感谢在系统上线,不同网络安全检测团队对系统不同方面的检测和及时反馈,让自己的系统不断的优化和调整,不断地成长。
